phorpiex

Le botnet Phorpiex envoie des millions d’emails de chantage

Un botnet vieux d’une dizaine d’année nommé Phorpiex et qui contrôle près de 450 000 ordinateurs dans le monde a récemment changé de fonctionnement. Finies les infections de machines avec des ransomware ou des mineurs de cryptomonnaie et place aux emails d’extorsion envoyés à des millions de gens.

L’extorsion par email est en plein essor. Un large nombre d’usagers se plaint d’avoir reçu des emails d’extorsion venant d’individus les menaçant d’exposer des informations liées à leurs habitudes sexuels (historiques de sites porno, photos dénudées, vidéos pornographiques etc…).

On ne savait pas comment les escrocs envoyaient un nombre si important d’emails sans être mis sur liste noire par les fournisseurs de messagerie mais les chercheurs de CheckPoint ont trouvé la pièce manquante dans ce puzzle.

Les chercheurs ont révélé que Phorpiex a été mis à jour pour inclure un bot de spam conçu pour utiliser des ordinateurs compromis comme des proxys pour envoyer plus de 30 000 emails par heure à l’insu des propriétaires des ordinateurs compromis.

Voici à quoi ressemble un email envoyé par le botnet Phorpiex:

phorpiex

Comment fonctionne le botnet Phorpiex?

Phorpiex est doté de fonctions de ver qui lui permettent de se propager sur d’autres systèmes en se copiant sur des clés USB et d’autres disques amovibles.

Ce logiciel malveillant peu sophistiqué analyse Internet à la recherche de serveurs RDP (Remote Desktop Protocol) et VNC (Virtual Network Computing) et tente d’accéder à ces périphériques en parcourant une liste de noms d’utilisateur et de mots de passe largement utilisés («password», «test»). ”,“ Testing ”,“ server ”,“ admin ”,“ 123123 ”,“ 123456 ”et similaires).

La nouveauté dans Phorpiex est qu’il télécharge la liste des adresses email de cibles depuis un serveur command-and-control et utilise une simple implémentation du protocole SMTP pour envoyer les emails.

“Ensuite, une adresse email est sélectionné au hasard depuis la base de donnée téléchargée et un message est composé de plusieurs chaîne de caractères. Le bot peut produire un nombre important d’emails – jusqu’à 30 000 par heure. Chaque campagne de spam peut affecter jusqu’à 27 millions de victimes potentielles,” ont expliqué les chercheurs.

“Le bot crée un total de 15 000 fils de conversation pour envoyer des spams depuis une base de donnée. Chaque fil prend une ligne au hasard dans le fichier téléchargé. Le prochain fichier de base de donnée est téléchargé quand tout les fils de spam sont terminés. Si on prend en compte les délais, on peut estimer que le bot est capable d’envoyer près de 30 000 emails en une heure.”

Pour intimider les victimes, les criminels qui se cachent derrière cette campagne utilisant le malware Phorpiex ajoute aussi l’un des mots de passe en ligne de la victime dans la ligne d’objet ou dans le contenu de l’email.

Ces combinaisons d’adresses email et de mots de passe viennent d’autres base de données qui ont été compromises. Par exemple, Dailymotion a été piraté il y’a quelques années, il est donc possible que l’adresse email et le mot de passe de votre compte Dailymotion soient dans les mains de pirates informatiques.

“La base de donnée téléchargée est un fichier texte qui contient près de 20 000 adresses email. Dans différentes campagnes, on a observé entre 325 et 1363 base de données d’email sur un serveur C&C. Une campagne de spam affecte donc jusqu’à 27 millions de victimes. Chaque ligne du fichier contient une adresse email et un mot de passe,” ont déclaré les chercheurs.

La même campagne d’extorsion alimenté par un botnet similaire a été nommé “Save Yourself” par d’autres équipes de chercheurs.

En un peu plus de cinq mois, les cybercriminels derrière cette campagne qui utilise Phorpiex ont récupéré plus de 11 BTC(bitcoins). C’est l’équivalent de 88 000 dollars (78 833€). Ce nombre n’est pas si énorme que ça quand on considère l’ampleur de l’opération mais les chercheurs affirment qu’il est surement plus élevé car ils n’ont pas pu tenir compte des années précédentes.

Si cet article vous a plu, jetez un œil à notre précédent article concernant un botnet.